0day 第11章--11.1节:SafeSEH保护原理

最新推荐文章于 2024-04-09 14:37:00 发布
最新推荐文章于 2024-04-09 14:37:00 发布
阅读量430 收藏 1
点赞数
分类专栏: 0day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15727809/article/details/83615483
版权

@TOC

1、SafeSEH原理很简单:

在程序调用异常处理函数之前,对要调用的异常处理函数进行校验,当发现异常处理函数不可靠时停止对异常处理函数的调用。
编译器在编译程序时将程序所有的异常处理函数地址提取出来,编入一张安全的SHE表,并将这张表放到程序的映像里面。当程序调用异常处理函数时将函数地址与安全SHE表进行匹配,检查调用的异常处理函数是否在安全的SHE表中。

2、SafeSEH机制的运行机理:

(1)首先会检查异常处理链是否在当前程序栈中,如果不在,将停止对异常处理函数的调用。
(2)检查异常处理函数指针是否指向当前程序栈,如果是,将停止对异常处理函数的调用。

在这里插入图片描述
(3)当前两项检查都通过后,程序调用一个全新的函数RtlIsValidHandler(),来对异常处理函数进行有效性验证。
在这里插入图片描述
RtlIsValidHandler()函数对以下3种情况允许异常处理函数执行。
(1) 异常处理函数位于加载模块内存范围外,DEP关闭。
(2) 异常处理函数位于加载模块内存范围内,相应模块未启用SafeSEH(不存在SHE表),同时相应模块不是纯IL。
(3) 异常处理函数位于加载模块内存范围内,相应模块启用SafeSEH,异常处理函数在SHE表中。

3、绕过方法

针对这3中情况,我们采取如下3种方法进行绕过

(1) 在加载模块内存范围外找到一个跳板指令就可以转入shellcode执行。
(2) 利用未启用SafeSEH模块中的指令作为跳板,转入shellcode执行。
(3) 两种思路:情况SHE表造成未启用SafeSEH的假象;将指令注册到安全SHE表中,但由于安全SHE表信息在内存中是加密存放的,因此此路不同。
(4) 还有一个思路:如果SHE中的异常函数指针指向堆区,即使安全校验发现异常处理函数不可信,仍会调用被修改过的异常处理函数!WHY???

Angelki
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SafeSEH原理与对抗
whatday的专栏
10-09 6127
SafeSEH原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...
SafeSEH基本概念+ 从堆区绕过SafeSEH学习
weixin_30628077的博客
09-09 128
SafeSEH 原理:在程序调用异常处理函数前,对要调用的的异常处理函数进行一系列的有效性检测 VS2003后续版本 默认启用的 编译器将所有的额SEH中所有的异常处理函数的值提取出来编入一张安全SEH 表 将这张表放到程序的映像中 当程序调用异常处理的时候会将函数地址与安全SEH表进行匹配 检查调用的异常处理函数是否位于安全SEH表 VS2008 命令行: 好像只有rele...
SafeSEH
钞sir的博客
09-27 9896
简介 safeseh是在seh的基础上进行的改进, 是异常处理的关键结构, 不同的编译器可能使用的safeseh不一样, 但是基本的思想都一样; safeseh验证 异常处理链起始位置储存在fs:[0]的位置, 在进程的DEP是开启的情况,有两种异常处理函数被异常分发器认为是有效的: 异常处理函数在进程映像的SafeSEH表中,并且没有NO_SEH标志。 异常处理函数在进程映像的可执行页,并且没有NO_SEH标志,没有SafeSEH表,没有.NET的ILonly标志。 在进程的DEP关闭的情况下
SafeSEH 对异常处理的保护原理
重文-技艺山海经
05-14 1481
SafeSEH 对异常处理的保护原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEHSafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 S
8.1 SafeSEH对异常处理的保护原理
qq_55202378的博客
10-22 692
SafeS.E.H
从零开始学习软件漏洞挖掘系列教程第五篇:突破SafeSeh防线1
08-03
2. **SafeSEH保护原理**:异常处理函数调用前会进行有效性检查,若发现异常处理函数被篡改,系统会立即停止执行。 **实验环境**: - 服务器:Windows 7 SP1 - 辅助工具:OllyDbg调试器 **实验步骤**: 1. **查看...
PESecurity-master
08-30
这些防护机制包括SafeSEH(Structured Exception Handling Overwrite Protection)、Authenticode(微软的一种代码签名技术)、DotNET(微软的.NET框架)相关的安全特性以及ControlFlowGuard(CFG,控制流守卫),...
OD插件-ollysseh
09-10
This plugin does an in-memory scanning of process loaded modules checking if they were compiled with /SafeSEH, if so it can list the registered handlers (you can follow them at CPU window doing double...
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL)
03-03
用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-...
周玉川-2017221302006-第三次作业1
08-03
- 许多第三方库未启用SafeSEH,攻击者可以利用这些库来绕过保护。 - 可以通过在堆区布置shellcode,绕过指向堆区的异常处理函数。 以上就是关于ROP检测、DEP机制、GS保护、ASLR原理以及SafeSEH安全性的详细介绍,...
SafeSEH原理及绕过技术浅析
热门推荐
magictong的专栏
04-27 1万+
SafeSEH原理及绕过技术浅析     作者:magictong 时间:2012年3月16日星期五   摘要:主要介绍SafeSEH的基本原理SafeSEH的绕过技术,重点在原理介绍。 关键词:SafeSEH;绕过技术;异常处理   目录 前言 SafeSEH保护原理 (1)      二进制层面 (2)      系统层面 怎么关掉编译器的SafeSEH支持
关于Safeseh
爱码农爱生活
03-16 217
么是Safeseh 以前堆栈溢出在的WINDOWS系统中一直都是安全问题的核心,其中覆盖seh的技术早为人熟知。Safeseh是一项保护和检测和防止堆栈中的seh被覆盖而导致利用的技术。 Safeseh是VISTA的新技术吗? Safeseh并不是VISTA的新技术,Safeseh是xp sp2就已经引入的技术。但是由于Safeseh需要.net的编译器编译的image才支持,而xp ...
0day安全》亡羊补牢:SafeSEH
weixin_50287973的博客
09-12 210
所有关于绕过 SafeSEH 机制的讨论均不考虑 DEP 的影响。 攻击返回地址绕过 SafeSEH 利用虚函数绕过 SafeSEH 和上一介绍的类似,通过攻击虚函数表来劫持程序流程,这个过程不涉及任何异常处理,SafeSEH 也就只是个摆设。 从堆中绕过 SafeSEH 程序中断前刚刚完成堆中空间的申请,此时寄存器 EAX 中存放着申请空间的首地址,所以 0x328b8也就是 shellcode 的首地址 被溢出的字符串起始位置为 0x0013FE8C S.E.H 异常处理函数指针位于0x001
0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 319
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从堆中绕过SafeSEH ...
0Day》之突破SafeSEHS
binghupo的博客
12-07 437
上一篇记录的通过虚函数突破GS,其实也可以通过SEH来突破GS,具体的原理和利用虚函数的方式类似,只是通过覆盖SEH异常处理函数地址来实现的,就不多说了。不过微软后来对SEH也做了防护,具体的做了哪些防护可以去看《0Day》。这里只记录突破SafeSEH的方式。 虽然微软对SEH做了防护,但也有例外,比如SEH中异常处理函数指针位于堆中,则不论是否通过安全校验,都会被调用,所以我们可以在堆中申请
Windows下SafeSEH保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 903
我们知道通常情况下,异常处理机制都是系统帮我们写好,编译进程序里面的,那我们如何对这些异常处理地址进行保护呢?我们想想是不是可以像前面的GS那样,我们在另一个地方保存,然后在调用异常处理的时候进行验证呢?实际上是可以的,这张表我们称之为安全S.E.H表。当程序开启了SafeSEH保护后,在编译期间,编译器将所有的异常处理地址提取出来,并且编入一张安全SEH表中,并且将这张表放到程序的映像里面。
SafeSEH Exploit——利用未启用SafeSEH的DLL
Re:Umiade.tr
03-21 565
实验内容和代码均修改自《0day安全》第二版 实验环境操作系统: Windows XP SP3 DEP关闭 EXE编译器: Visual Studio 2008 DLL编译器: VC++6.0 dll 基址设置 /base:”0x11120000” 编译选项: 禁用优化 (/0d) build版本: release版本实验原理结合之前的内容,可以了解到对于未启用
突破SafeSEH机制之二——利用未启用SafeSEH模块绕过SafeSEH
Yx0051的博客
08-07 762
敲黑板敲黑板~~今天我们继续~ 上次讲到SafeSEH的突破,介绍了一个简单的利用堆绕过SafeSEH突破SafeSEH机制之一——利用堆绕过SafeSEH 本篇总共遇到了3个问题还没有解决,有没有大神帮我解答一下,我都把问题背景给标黄了。 突破思路: 那么有3种情况,系统可以允许异常处理函数执行: 1、异常处理函数位于加载模块内存范围之外,DEP关闭 2、异常处理函数位于加载模块内存
"突破SafeSeh防线1:从零开始学习软件漏洞挖掘系列教程第五篇
本次实验是《从零开始学习软件漏洞挖掘系列教程》的第五篇,主题是突破SafeSeh防线。实验的目的是通过了解绕过SafeSeh的方法,能够成功绕过SafeSeh执行shellcode,并学会如何编写更加安全的代码,提高网络安全意识。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值